Издаване на криптографска библиотека OpenSSL 3.1.0

След година и половина разработка беше пусната библиотеката OpenSSL 3.1.0 с внедряването на SSL / TLS протоколите и различни алгоритми за криптиране. Поддръжката за OpenSSL 3.1 ще продължи до март 2025 г. Поддръжката за наследени разклонения на OpenSSL 3.0 и 1.1.1 ще продължи съответно до септември 2026 г. и септември 2023 г. Кодът на проекта се разпространява под лиценза Apache 2.0.

Основни иновации на OpenSSL 3.1.0:

• Модулът FIPS реализира поддръжка за криптографски алгоритми, които отговарят на стандарта за сигурност FIPS 140-3. Процесът на сертифициране на модула започна за получаване на сертификат за съответствие с FIPS 140-3. Докато сертифицирането не приключи след надграждане на OpenSSL до клон 3.1, потребителите могат да продължат да използват модул FIPS, сертифициран за FIPS 140-2. От промените в новата версия на модула се отбелязва включването на алгоритмите Triple DES ECB, Triple DES CBC и EdDSA, които все още не са тествани за съответствие с изискванията на FIPS. Също така в новата версия са направени оптимизации за подобряване на производителността и е направен преход към провеждане на вътрешни тестове при всяко зареждане на модула, а не само след инсталиране.
• Преработен OSSL_LIB_CTX код. Новата опция е лишена от ненужни ключалки и ви позволява да постигнете по-висока производителност.
• Подобрена производителност на рамките на енкодера и декодера.
• Извършена оптимизация на производителността, свързана с използването на вътрешни структури (хеш таблици) и кеширане.
• Подобрена скорост на генериране на RSA ключове в режим FIPS.
• Алгоритмите AES-GCM, ChaCha20, SM3, SM4 и SM4-GCM имат специфични асемблерни оптимизации за различни процесорни архитектури. Например кодът AES-GCM се ускорява с помощта на инструкциите AVX512 vAES и vPCLMULQDQ.
• Поддръжката на алгоритъма KMAC (KECCAK Message Authentication Code) е добавена към KBKDF (Key Based Key Derivation Function).
• Различни функции "OBJ_*" са адаптирани за използване в многонишков код.
• Добавена е възможност за използване на инструкцията RNDR и RNDRRS регистрите, налични в процесори, базирани на архитектурата AArch64, за генериране на псевдослучайни числа.
• Функциите OPENSSL_LH_stats, OPENSSL_LH_node_stats, OPENSSL_LH_node_usage_stats, OPENSSL_LH_stats_bio, OPENSSL_LH_node_stats_bio и OPENSSL_LH_node_usage_stats_bio са отхвърлени. Отхвърлен макрос DEFINE_LHASH_OF.

Източник: opennet.ru